Termina el soporte para criptografía obsoleta
A partir del 2019-10-14 la plataforma ITVERX sólo permitirá conexiones de sus clientes, si se establecen con TLS 1.2 o superior.
Hay cuatro versiones del protocolo TLS en uso: TLS 1.0, 1.1, 1.2 y 1.3.
TLS 1.0 es un protocolo con más de dos décadas de antigüedad. Hace muchos años se sabe que es vulnerable a varios ataques, además que mantiene soporte para algoritmos criptográficos débiles, incapaces de proveer suficiente seguridad a las conexiones en el mundo moderno. TLS 1.1 no tiene vulnerabilidades conocidas, pero sigue soportando algoritmos criptográficos débiles.
Así, emplear TLS 1.0 o 1.1 hoy en día es evidencia de un atraso importante en cuanto a las mejores prácticas de tecnologías en uso, a la vez de constituir un riesgo directo. La plataforma ITVERX, pensada precisamente para asegurar la privacidad e integridad del transporte de correo, no es la excepción.
A mediados de Octubre 2018, proveedores como Apple, Microsoft y Google anunciaron en simultáneo sus intenciones de cesar completamente el soporte a TLS 1.0 y TLS 1.1 en sus ofertas, a partir de 2020.
Pocas semanas después, comunicamos a todos y cada uno de los contactos técnicos de nuestros clientes la necesidad de actualizar sus aplicaciones. Además, notificamos nuestras intenciones de cesar el soporte para los protocolos obsoletos.
Para esta fecha, casi un año después, todos nuestros clientes deben haber actualizado sus navegadores y clientes de correo, de manera que soporten TLS 1.2 o superior.
La plataforma ITVERX
ITVERX ha venido trabajando desde mediados de Agosto de 2018 para actualizar la plataforma de manera que solamente soporte TLS 1.2 o superior. La actualización ha sido paulatina, involucrando a nuestros clientes y asociados de negocios cuando resultó necesario, y los resultados han sido satisfactorios, como se esperaba.
Después de casi un año:
-
Nuestro servicio de Correo Administrado para clientes que tienen buzones independientes, solamente establece conexiones TLS 1.2 o mejores, presentando certificados X.509 emitidos por nuestra autoridad de certificación. Esto aplica para conexiones «aguas arriba» desde nuestros clientes y «aguas abajo» hacia nuestros clientes.
-
Nuestro servicio de W3BMail para clientes de Correo Administrado sólo acepta conexiones con navegadores que soporten TLS 1.2 o mejores.
-
Todos los certificados X.509 en uso, sean de la CA ITVERX o de CAs independientes, han sido revisados para utilizar firmas SHA256 en lugar de las obsoletas SHA1 o MD5.
-
Las conexiones dentro de nuestra plataforma de Correo Administrado y DNS Distribuido, se establecen usando TLS 1.3 exclusivamente y con la selección de algoritmos más robustos disponibles.
A lo largo del último año, y especialmente durante los últimos seis meses, hemos observado como ha aumentado el número de conexiones de nuestros clientes usando TLS 1.2 y TLS 1.3. Aún se mantienen algunas conexiones al servicio de buzones empleando TLS 1.0 y 1.1.
El último paso en la actualización de la plataforma de ITVERX es, precisamnete, adecuar la plataforma de envío y recepción de correo para Buzones Administrados.
La actualización tendrá lugar el fin de semana del 2019-10-12:
-
Actualización general de la plataforma hasta las versiones más recientes de todos los componentes criptográficos, manteniendo soporte temporal para TLS 1.0 y 1.1. Esto nos permitirá emplear nuestro motor de pruebas automatizadas para confirmar que todo funciona correctamente.
-
Desactivación definitiva y permanente de TLS 1.0 y 1.1, para el envío y recepción de mensajes a través de la plataforma.
A partir del lunes 2019-10-14 00:00 VET, la plataforma ITVERX sólo permitirá conexiones a sus clientes usando TLS 1.2 o superior.
¿Cómo afectará a nuestros clientes?
Si Ud. es un cliente de Correo Administrado con buzones independientes, administrados en sus premisas, este cambio no le afectará. De hecho, Ud. ya está usando TLS 1.2 o 1.3 para la transferencia de mensajes a través de nuestro Mail Exchanger principal.
Si Ud. es un cliente de Correo Administrado con buzones operados por ITVERX, asegúrese que:
-
Verifique con el proveedor de su dispositivo que el sistema operativo tiene soporte para TLS 1.2 o superior, aplicando todos los parches necesarios.
-
Verifique que su navegador tiene soporte para TLS 1.2 o superior, aplicando todos los parches, o actualizando a una versión más reciente de ser necesario. Si su navegador no tiene soporte para TLS 1.2, no podrá conectarse al W3BMail.
-
Verifique que su cliente de correo tiene soporte para TLS 1.2 o superior, aplicando todos los parches, o actualizando a una versión más reciente de ser necesario. Si su cliente de correo no tiene soporte para TLS 1.2, no podrá enviar ni recibir correo.
¿Cómo afectará a los asociados de negocios de nuestros clientes?
Los Proveedores de Servicio de Correo Electrónico más importantes (Google Mail, Hotmail, Yahoo!, mail.com) tienen soporte TLS 1.2 y 1.3 desde el tercer trimestre de 2018. Por lo tanto, ese tráfico de correo no se verá afectado.
Hemos observado muchas organizaciones que administran su propio servicio de correo directamente (dentro y fuera de Venezuela), que no tienen soporte alguno para TLS 1.2 o mejor. También hemos observado muchas organizaciones que administran su correo indirectamente en platformas que tienen soporte parcial para TLS 1.2 o mejor.
En general, se trata de dominios bajo gob.ve
, y la
mayoría de los dominios operados en CANTV.net y Daychost. En estos
casos, ITVERX tiene mecanismos para degradar la calidad
del servicio selectivamente entre los servidores de ITVERX y el
servidor con prestaciones insuficientes donde opera su asociado de
negocio. Esta es la mejor solución que podemos ofrecer hasta que
los operadores de esas plataformas las mejoren.
Si tiene dificultades para enviar o recibir mensajes hacia un domino en particular, comuníquese con nosotros a través de los canales habituales de soporte. Haremos el diagnóstico necesario y ofreceremos un reporte técnico que Ud. podrá enviar a su asociado de negocios para que apure las mejoras en su plataforma, por una comunicación segura para todos.
Recomendaciones finales
La plataforma de Correo Administrado ITVERX incluye todas las técnicas modernas para envío y recepción de correo electrónico viables para nuestros clientes.
Muchos de nuestros clientes operan sobre dominios que no tienen suficiente protección criptográfica. Esto no impide el transporte de correo, pero puede demorarlo o reducir la habilidad de entrega.
Sugerimos a todos nuestros clientes operar sus dominios usando DNSSEC. La plataforma Grok DNS de ITVERX ha ofrecido soporte DNSSEC desde hace más de cinco años para todos los clientes que lo han solicitado sin costo adicional.